Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros
Entenda melhor este tipo de ataque e conheça as principais maneiras de evitá-lo com ajuda da ferramenta Block Hosts.
[ Hits: 40.795 ]
Por: Perfil removido em 17/11/2009
Instalação do Block Hosts
PASSO 1: Faça download do arquivo ZIP da última versão do Block Hosts disponível em:
Hoje a última versão disponível é 2.4.0.
PASSO 2: Instale os pacotes que são requisitos básicos necessários para o funcionamento. São eles:
- logwatch
- python
- python-optcomplete
No Debian, utilize o comando "apt-get install logwatch python python-optcomplete", que irá instalar tudo automaticamente para você. Para outros sistemas, basta adaptar o processo de instalação destes pacotes.
PASSO 3: Edite o arquivo "/etc/hosts.deny" e insira no início do arquivo duas linhas, conforme descrito abaixo:
#---- BlockHosts Additions
Esta é a marcação de qual parte do arquivo "hosts.deny" o Block Hosts vai inserir suas entradas de bloqueio de IPs.
PASSO 4: Descompacte o arquivo "BlockHosts-2.4.0.zip" ou equivalente à sua versão e acesse o diretório descompactado.
Para executar a instalação, rode o seguinte comando como root:
# python setup.py install --force
Este comando instalará automaticamente todos os arquivos necessários.
Se não ocorreu nenhuma mensagem de erro, a instalação está finalizada! Agora basta configurar.
2. Instalação do Block Hosts
3. Configuração e execução do Block Hosts
Acessando partições NTFS no Linux
Gerenciar e configurar inetd e serviços relacionados
Servidor de logs em Debian Linux
Servidor para centralização de logs - Fedora 7
Bom artigo!
Apenas um adendo: uma ferramenta boa pra verificar ataques à serviços é um IDS (Snort, por exemplo).
Valeu!
Obrigado pelos comentários! Como nosso amigo Luiz comentou, é muito importante ter um IDS na sua rede também.
Olá,
Parabéns pelo artigo está bem explicado e isso é importante, fiquei só na dúvida sobre, se os serviços que ele bloqueia é ssh e o FTP são por padrão, ou se se eu quiser adicionar um outro serviço como o faço.
Esse foi para FAVORITOS.
Obrigado pelo comentário José Cleydson! Para adicionar outros serviços, você precisa apenas saber lidar com Expressões Regulares. Verifique no arquivo de configuração a diretiva "ALL_REGEXS", nela que são determinados as linhas do LOG que devem ser monitoradas. Por padrão o BlockHosts monitora os serviços ssh, proftpd, vsftpd, pure-ftpd, ftpd-Solaris, ipop3d, dovecot, qpopper, postfix, mas nada impede de você adicionar tantos outros quanto você queira. Boa sorte!
Muito bom, guardado também
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
cara só uma dúvida, fiz uns testes aqui.. olha meu "/var/log/blockhosts.log":
blockhosts 2.4.0 started: 2009-11-27 10:55:01 BRST
... loaded /etc/hosts.deny, starting counts: blocked 0, watched 2
... loading log file /var/log/auth.log, offset: 27431
... discarding all host entries older than 2009-11-25 10:55:01 BRST
... final counts: blocked 0, watched 3
arquivo "hosts.deny":
#---- BlockHosts Additions
#bh: ip: 192.X.X.X : 4 : 2009-11-27 10:55:01 BRST
#bh: ip: 192.X.X.X : 5 : 2009-11-27 10:50:01 BRST
#bh: ip: 10.X.X.X : 4 : 2009-11-27 10:50:01 BRST
#bh: logfile: /var/log/auth.log
#bh: offset: 30060
#bh: first line:Nov 24 14:55:37 SERVIDOR login[2334]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
#---- BlockHosts Additions
Esses ips que estão em "hosts.deny" são os ips que eu forcei o login via ssh por mais de 7 vezes. porque não foram bloqueados?
Valeu
O artigo ficou com uma explicação bem completa, do inicio ao fim.
Outra ferramenta boa para evitar esse tipo de ataque em vários serviços é o Fail2ban, outro dia postei uma dica ensinando a instalar, configurar e usar. Além do SSH, o Fail2ban monitora também os arquivos de log do apache e também tentativas de acesso ao servidor de e-mails (postfix) ou ao servidor FTP.
Ótimo artigo :)
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Excluir banco de dados no xampp (1)
phpmyadmin não abre no xampp (2)
Top 10 do mês
-
Xerxes
1° lugar - 63.689 pts -
Fábio Berbert de Paula
2° lugar - 49.567 pts -
Buckminster
3° lugar - 17.179 pts -
Mauricio Ferrari
4° lugar - 14.908 pts -
Alberto Federman Neto.
5° lugar - 13.421 pts -
Diego Mendes Rodrigues
6° lugar - 13.284 pts -
Daniel Lara Souza
7° lugar - 12.684 pts -
Andre (pinduvoz)
8° lugar - 10.072 pts -
edps
9° lugar - 10.018 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.870 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
